Penjelasan teknis
vLLM versi 0.14.1 melakukan hardcode trust_remote_code=True di dua file implementasi model (vllm/model_executor/models/nemotron_vl.py dan vllm/model_executor/models/kimi_k25.py). Ini secara diam-diam menimpa flag --trust-remote-code=False yang disediakan pengguna, memungkinkan kode arbitrer dari repositori model untuk dieksekusi selama pemuatan model bahkan ketika operator telah secara eksplisit menonaktifkan kemampuan ini.
Vektor serangan
Seorang penyerang yang dapat mempengaruhi repositori model yang dimuat oleh vLLM (misalnya, melalui model HuggingFace yang dipoisoning atau kompromi rantai pasokan) dapat menjalankan kode arbitrer selama pemuatan model pada instance vLLM yang menjalankan model Nemotron VL atau Kimi K2.5, terlepas dari konfigurasi keamanan --trust-remote-code=False yang eksplisit dari operator. CVSS 8.8 (Tinggi); dilaporkan melalui platform bounty huntr.
Sistem yang terdampak
vLLM versi 0.14.1 — khususnya implementasi model Nemotron VL dan Kimi K2.5. Setiap deployment vLLM yang memuat jenis model ini terpengaruh terlepas dari pengaturan flag trust_remote_code yang eksplisit.
Mitigasi
Perbarui vLLM ke versi di atas 0.14.1. Audit semua konfigurasi deployment vLLM untuk mengidentifikasi jenis model mana yang dimuat. Sampai diperbaiki, perlakukan sumber model Nemotron VL dan Kimi K2.5 sebagai memerlukan verifikasi kepercayaan rantai pasokan penuh terlepas dari flag trust_remote_code.